信息化觀察網(wǎng)

10月19日，國家標(biāo)準(zhǔn)《信息安全技術(shù)區(qū)塊鏈信息服務(wù)安全規(guī)范》（下稱《安全規(guī)范》）研制啟動(dòng)會(huì)召開。本次啟動(dòng)會(huì)旨在落實(shí)相關(guān)工作要求，推動(dòng)《安全規(guī)范》標(biāo)準(zhǔn)的編制工作，中國科學(xué)院信息工程研究所將負(fù)責(zé)組織實(shí)施標(biāo)準(zhǔn)的編制、推進(jìn)等工作。

“《安全規(guī)范》標(biāo)準(zhǔn)的制定和出臺，對于區(qū)塊鏈行業(yè)整體發(fā)展上有著很好的推動(dòng)和促進(jìn)作用；對于部分非法覬覦者和短期利益者，也有著較強(qiáng)的震懾作用；對于行業(yè)標(biāo)準(zhǔn)化、規(guī)范化的發(fā)展，有著很好的敦促和指引作用。”字節(jié)互鏈ByteLink CEO杜超向《鏈新》表示。

技術(shù)安全存隱患

“區(qū)塊鏈究竟安不安全，這個(gè)問題是仁者見仁智者見智。”佰鏈薈創(chuàng)始人、中國區(qū)塊鏈應(yīng)用研究中心研究員辛泓睿向《鏈新》表示。

辛泓睿認(rèn)為，區(qū)塊鏈安全主要涉及兩大類：一是區(qū)塊鏈＋產(chǎn)業(yè)生態(tài)的安全（如電子交易、版權(quán)）；二是區(qū)塊鏈＋政務(wù)（如身份驗(yàn)證、存證等）。區(qū)塊鏈安全主要內(nèi)容包括：技術(shù)安全，例如智能合約以及虛擬機(jī)的安全、密碼學(xué)與網(wǎng)絡(luò)安全、存儲(chǔ)安全等；應(yīng)用安全，例如金融安全、審計(jì)安全等；以及監(jiān)管安全等安全性要求。

2016年6月17日，區(qū)塊鏈業(yè)界最大的眾籌項(xiàng)目TheDAO(被攻擊前擁有1億美元左右資產(chǎn))遭到攻擊,導(dǎo)致300多萬以太坊資產(chǎn)被分離出TheDAO資產(chǎn)池。2017年7月19日,多重簽名錢包Parity1.5及以上版本出現(xiàn)安全漏洞,15萬個(gè)以太坊被盜,共價(jià)值3000萬美元。這些上億元的安全損失只是因?yàn)橐恍写a引起的。

“從技術(shù)角度來講，區(qū)塊鏈面臨的安全問題，既來自于區(qū)塊鏈本身，也有其他技術(shù)發(fā)展產(chǎn)生的潛在威脅。”比特大學(xué)聯(lián)合創(chuàng)始人、副校長王繼堯向《鏈新》表示。

據(jù)王繼堯分析，以較為重視安全維度的公鏈系統(tǒng)自身來講，目前公認(rèn)較為安全的是比特幣網(wǎng)，運(yùn)行超過十年年沒有遇到較嚴(yán)重的安全問題，主要原因是其在腳本上限制了開發(fā)拓展性，且節(jié)點(diǎn)數(shù)量相對較多，保證了鏈的安全穩(wěn)定。

相比之下，可編程的區(qū)塊鏈系統(tǒng)及其鏈上應(yīng)用，在編程過程中難免產(chǎn)生漏洞，如近期以太坊上的一些DEFI項(xiàng)目，由于部分合約未經(jīng)審計(jì)以致漏洞未被發(fā)現(xiàn)，導(dǎo)致項(xiàng)目不得不暫停運(yùn)行。

“近年來，區(qū)塊鏈安全方面，絕大多數(shù)的問題還是黑客攻擊，另外也出現(xiàn)過信息和隱私泄漏風(fēng)險(xiǎn)；數(shù)字加密資產(chǎn)領(lǐng)域出現(xiàn)較多的道德風(fēng)險(xiǎn)以及潛在的非法信息和資金傳遞風(fēng)險(xiǎn)。”杜超向《鏈新》表示。

杜超認(rèn)為，黑客攻擊和開發(fā)者的道德風(fēng)險(xiǎn)，一定程度上可以通過技術(shù)發(fā)展以及逐漸健全、合規(guī)的代碼審計(jì)機(jī)制有所控制；而信息和隱私泄漏以及使用者道德風(fēng)險(xiǎn)，一定程度上可以通過風(fēng)險(xiǎn)意識教育進(jìn)行部分規(guī)避。

“歸根結(jié)底，這幾塊的風(fēng)險(xiǎn)會(huì)持續(xù)存在。其中對公共安全有較大潛在危害的‘非法信息和資金傳遞’風(fēng)險(xiǎn)，比較復(fù)雜且難以偵測，但有可能造成極為嚴(yán)重的危害，比如：極端組織非法信息傳遞以及跨境洗錢等。”

尋找解決方案

“區(qū)塊鏈的安全問題是區(qū)塊鏈技術(shù)的核心命題，有效解決安全問題將很大程度助力區(qū)塊鏈發(fā)展。”王繼堯說。

“正如DEFI的去中心化金融給未來金融提供了很多解決方案參考一樣，對于目前產(chǎn)生的各種區(qū)塊鏈漏洞，同樣可以進(jìn)行分類定級，建立一些常見的漏洞及安全識別體系，這有助于提升行業(yè)整體安全識別水平。”

王繼堯認(rèn)為，從技術(shù)手段上，通過建立可信的代碼審計(jì)體系，可以一定程度上避免安全漏洞。整體而言，區(qū)塊鏈的安全相關(guān)細(xì)則制定，需要涵蓋公鏈、聯(lián)盟鏈、智能合約及鏈上應(yīng)用，這是一個(gè)長久的過程，需要建立標(biāo)準(zhǔn)細(xì)則、完善體系等，“現(xiàn)在相關(guān)安全細(xì)則已經(jīng)著手制定，這是一個(gè)好的開始。”

與此同時(shí)，也需要建立項(xiàng)目、公司、個(gè)人用戶的安全意識。“比如，用戶不去參與未經(jīng)代碼審計(jì)的項(xiàng)目，這就會(huì)倒逼項(xiàng)目或企業(yè)完成代碼的安全審計(jì)。再比如，一些設(shè)計(jì)BAAS服務(wù)類的平臺，對于用戶構(gòu)建的技術(shù)模塊，也應(yīng)該考慮像以太坊網(wǎng)絡(luò)一樣，嵌入一個(gè)代碼漏洞識別與審計(jì)功能，提升平臺整體安全質(zhì)量。這既需要商業(yè)機(jī)制的倒逼，也需要行業(yè)廣泛宣傳。”王繼堯強(qiáng)調(diào)。

“當(dāng)前區(qū)塊鏈技術(shù)在各場景應(yīng)用的過程中，主要存在密鑰泄露、賬號盜用、DDoS攻擊、協(xié)議漏洞、合約漏洞、應(yīng)用軟件漏洞等安全隱患。”辛泓睿認(rèn)為，可結(jié)合場景特點(diǎn)，從物理設(shè)施、區(qū)塊鏈底層協(xié)議、應(yīng)用層面針對性展開安全風(fēng)險(xiǎn)防范，開展代碼審計(jì)工作，部分法規(guī)代碼化，內(nèi)置于區(qū)塊鏈系統(tǒng)，打造符合國家安全要求的自主可控的區(qū)塊鏈平臺和應(yīng)用。

“安全永遠(yuǎn)是人們最關(guān)心的問題，計(jì)算網(wǎng)絡(luò)的安全性風(fēng)險(xiǎn)都可以通過技術(shù)來解決，來自用戶錢密鑰泄露、賬號盜用的安全主要通過提高用戶的安全意識，加強(qiáng)自我防范來實(shí)現(xiàn)。”辛泓睿表示。

目前，在高效低能耗、安全與去中心化這幾個(gè)主要設(shè)計(jì)目標(biāo)上，區(qū)塊鏈技術(shù)存在“不可能三角”。如果選擇去中心化和高效低能耗，則要犧牲安全性，特別是在金融領(lǐng)域，幾乎可以一票否決；如果選擇去中心化和安全，舍棄高效低能耗，必然導(dǎo)致交易模式和場景的極大壓縮，幾乎是在所有主流業(yè)務(wù)上的全面撤退；最后，如果選擇高效低能耗與安全性，又極大損害了區(qū)塊鏈的預(yù)期發(fā)展前景。

“目前市場上相關(guān)企業(yè)掌握的區(qū)塊鏈技術(shù)，沒有太大差異，區(qū)塊鏈應(yīng)用需要解決的是基礎(chǔ)理論上的問題，這是政府部門、科研機(jī)構(gòu)牽頭承擔(dān)的任務(wù)。”辛泓睿表示。

期待標(biāo)準(zhǔn)出臺

“行業(yè)開始著手研究制定《安全規(guī)范》，恰恰體現(xiàn)了行業(yè)的蓬勃發(fā)展，并向著產(chǎn)業(yè)化、正規(guī)化方向邁進(jìn)，這是我們喜聞樂見的。將對行業(yè)的安全防護(hù)、代碼審計(jì)相關(guān)的項(xiàng)目和公司有比較好的促進(jìn)作用。”王繼堯表示。當(dāng)下中國區(qū)塊鏈產(chǎn)業(yè)處于高速發(fā)展階段，國內(nèi)主流金融機(jī)構(gòu)、科技企業(yè)等紛紛加快區(qū)塊鏈應(yīng)用投入，區(qū)塊鏈技術(shù)的應(yīng)用領(lǐng)域從最初的金融逐步拓展到政務(wù)服務(wù)、供應(yīng)鏈管理、工業(yè)制造等多個(gè)方面，新應(yīng)用、新業(yè)態(tài)正在快速落地。

“區(qū)塊鏈當(dāng)前不成熟，但有發(fā)展?jié)摿Α?rdquo;辛泓睿認(rèn)為，雖然區(qū)塊鏈行業(yè)總體仍處于發(fā)展早期，很多人研究區(qū)塊鏈底層技術(shù)，但到一定程度就很難有進(jìn)展，需要有實(shí)際應(yīng)用場景拉動(dòng)。“現(xiàn)在區(qū)塊鏈應(yīng)用落地項(xiàng)目，依然是一個(gè)痛點(diǎn)。要防范打擊詐騙，否則這些詐騙行為容易影響行業(yè)的發(fā)展和聲譽(yù)。同時(shí)，要鼓勵(lì)技術(shù)研究，踏踏實(shí)實(shí)做技術(shù)，不要天天炒概念。區(qū)塊鏈相對來說還是比較好管理，以鏈管鏈，以技術(shù)管技術(shù)。”

鑒于當(dāng)前的技術(shù)缺陷，在區(qū)塊鏈應(yīng)用落地項(xiàng)目中，王繼堯認(rèn)為，應(yīng)該“強(qiáng)化代碼審計(jì)，產(chǎn)業(yè)端聯(lián)盟鏈或開放聯(lián)盟鏈，完善自主核心關(guān)鍵技術(shù)，盡量采用完全自主研發(fā)的技術(shù)架構(gòu)，并制定相應(yīng)標(biāo)準(zhǔn)。”

杜超建議，重視區(qū)塊鏈行業(yè)監(jiān)察、監(jiān)管，建立有效的、快速的、多部門多層級共同協(xié)調(diào)的工作機(jī)制；加速推動(dòng)密碼學(xué)和隱私保護(hù)等技術(shù)的發(fā)展和研究；逐步建立、健全有法律法規(guī)基礎(chǔ)的代碼審查、備案機(jī)制；加大從業(yè)者普法以及行業(yè)自律教育。

“《安全規(guī)范》標(biāo)準(zhǔn)的制定，將解決好監(jiān)管的問題，有助于保障區(qū)塊鏈產(chǎn)業(yè)的健康發(fā)展。”辛泓睿認(rèn)為，國家標(biāo)準(zhǔn)《安全規(guī)范》制定，將有利于研究區(qū)塊鏈信息服務(wù)安全風(fēng)險(xiǎn)，提出安全要求和測試評估方法，指導(dǎo)區(qū)塊鏈信息服務(wù)提供者開展安全建設(shè)和安全評估，進(jìn)一步推進(jìn)‘互聯(lián)網(wǎng)+信用’監(jiān)管，利用區(qū)塊鏈、大數(shù)據(jù)、人工智能等技術(shù)手段，加強(qiáng)對行業(yè)和個(gè)人的信用信息的歸集共享和分析應(yīng)用，為數(shù)字人民幣的開發(fā)提供支持，同時(shí)將推動(dòng)云計(jì)算、物聯(lián)網(wǎng)、區(qū)塊鏈、5G等新一代信息技術(shù)與智慧信息系統(tǒng)的融合升級。